L2TP/IPsec
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/12/12 09:40 UTC 版)
「Layer 2 Tunneling Protocol」の記事における「L2TP/IPsec」の解説
L2TPの元々の機密性の欠如から、しばしばIPsecと一緒に実装される。これはL2TP/IPsecと呼ばれ、RFC 3193 によって標準化されている。L2TP/IPsec VPNを構築するための手順は以下の通りである。 一般的に、IKE (Internet Key Exchange)を通してIPsecのSA (Security Association)を折衝する。これはUDPの500番ポートで行われ、通常、共有のパスワード(事前共有鍵、PSK)や公開鍵、X.509証明書を両端で用いる。しかし他の鍵方式も存在する。トランスポートモードのESP (Encapsulation Security Payload)通信の確立。ESPのIPプロトコル番号は50である。この時点で、安全なチャネルは確立できたがトンネリングは行われてはいない。SAのエンドポイント間のL2TPトンネルのネゴシエーションと確立。パラメータの実際のネゴシエーションは上記のSAの安全なチャネルの上で、IPsec暗号化の下に行われる。L2TPはUDPの1701番ポートを利用する。 プロセスが完了すれば、エンドポイント間のL2TPパケットはIPsecによってカプセル化される。L2TPパケット自体はIPsecパケットの内側に包まれ隠されているので、内側のプライベートネットワークについての情報は暗号化されたパケットから得る事は不可能である。さらに、両方のエンドポイント間にあるファイアウォールのUDPの1701番ポートを開ける必要はない。なぜなら、トンネル内部のパケットはIPsecデータが復号されトンネルから取り出されるまで処理されず、エンドポイントでのみ処理されるからである。 L2TP/IPsecにおける混同の可能性がある点は「トンネル」と「セキュアトンネル」という用語である。トンネルは一方のネットワークの手付かずのパケットを他方のネットワークに運ぶことを可能にするチャネルのことを言う。L2TP/IPsecの場合は、L2TP/PPPパケットがIP上で転送されることを可能とする。セキュアトンネルとは全てのデータの機密性が保証された接続のことを指す。L2TP/IPsecにおいては、最初にIPsecがセキュアトンネルを提供し、次にL2TPがトンネルを提供する。
※この「L2TP/IPsec」の解説は、「Layer 2 Tunneling Protocol」の解説の一部です。
「L2TP/IPsec」を含む「Layer 2 Tunneling Protocol」の記事については、「Layer 2 Tunneling Protocol」の概要を参照ください。
- L2TP/IPsecのページへのリンク
